QEMU VM với giao diện nhấn sẽ thấy tất cả các gói đến từ trình ảo hóa thay vì IP nguồn thực

Christian

07:46, 29/11/2022

Tôi đã thiết lập một Hypervisor rất đơn giản bằng Alpine Linux và máy ảo của tôi thấy tất cả lưu lượng truy cập đến từ IP của trình ảo hóa.

Điều đó cũng có nghĩa là nếu fail2ban cố gắng chặn các cuộc tấn công, nó sẽ luôn chặn IP của trình ảo hóa

Làm cách nào để VM nhìn thấy Địa chỉ IP thực chứ không chỉ IP của trình ảo hóa?

thiết lập giao diện

Trên HV (192.168.5.5) Tôi có một giao diện bắc cầu anh trai đang hoạt động tốt

# tập lệnh thiết lập tun1 trên Hypervisor
iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE
iptables -P CHẤP NHẬN VỀ PHÍA TRƯỚC
ip tuntap add dev tap1 mode tap user root
thiết lập liên kết ip dev tap1 lên
đặt liên kết ip tap1 master br0

qemu-system-x86_64 [..các tham số không liên quan đã bị xóa ..] \
-thiết bị virtio-net-pci,netdev=network0,mac=02:1f:ba:26:d7:56 \
-netdev tap,id=network0,ifname=tap1,script=no,downscript=no

VM có quyền truy cập internet nhưng tất cả lưu lượng mà nó nhìn thấy đều đến từ IP của trình ảo hóa.

VM chỉ thấy IP HV

Ai đó thậm chí đang cố gắng sử dụng Máy chủ của tôi cho một cuộc tấn công khuếch đại DNS (mặc dù bị chặn trên Tường lửa PFSense của tôi)

Fail2ban cũng chặn nhầm IP

158

1 + 0

điều chỉnh

qemu

ảo hóa kvm

núi cao

Điểm:0

Server

Christian

08:09, 29/11/2022

Lý do cho điều này là quy tắc iptable postrouting.

Sau khi loại bỏ iptables -t nat -A POSTROUTING -o br0 -j MASQUERADE sử dụng lệnh iptables -t nat -D POSTROUTING -o br0 -j MASQUERADE nó hoạt động.

0 + 0

Phan Văn Trường

Câu hỏi này là trong các ngôn ngữ khác:

EN: QEMU VM with tap interface sees all packages coming from hypervisor instead of real source IP

TH: QEMU VM พร้อมอินเทอร์เฟซการแตะเห็นแพ็คเกจทั้งหมดที่มาจากไฮเปอร์ไวเซอร์แทนที่จะเป็น IP ต้นทางจริง

RO: QEMU VM cu interfață tap vede toate pachetele care provin de la hypervisor în loc de IP-ul sursă reală

RU: Виртуальная машина QEMU с интерфейсом tap видит все пакеты, поступающие от гипервизора, а не реальный IP-адрес источника.

VI: QEMU VM với giao diện nhấn sẽ thấy tất cả các gói đến từ trình ảo hóa thay vì IP nguồn thực

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.